Websecurity - Веб безпека

16.04.2012

Ще 18.04.2008 я знайшов Cross-Site Scripting, Cross-Site Request Forgery та Arbitrary File Upload (Code Execution) уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це друга порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я писав про уразливості в Organizer для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&edit_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

Organizer XSS-2.html

Код виконається на сторінці users.php плагіна.

CSRF:

Через атаку на функцію Add/Edit User Setting можна додавати і редагувати налаштування. Додавання і редагування поєднані в один і той же POST запит.

POST запит на сторінці http://site/wp-admin/admin.php ?page=organizer/page/users.php (аналогічно експлоіту для XSS).

Через атаку на функцію Delete User Setting можна вадалити налаштування.

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=admin

Arbitrary File Upload (Code Execution):

Можливе необмежене завантаження файлів з виконанням коду (php файлів). Тому що в полі File extensions allowed можна вказати розширення скриптів, такі як “php”.

Так що окрім використання обхідних методів, таких як подвійні розширення (при нашаштуваннях плагіна по замовчуванню), можна змінити налаштування і задати “php” в дозволені розширення. Що дозволить завантажувати на сервер та виконувати довільні скрипти. Окрім проведення атаки на адміна через вищезгадану CSRF уразливість для зміни налаштувань (або отримання доступу до адмінського акаунту для цього), також для цього можна використати Insufficient Authorization уразливість (при наявності акаунта навіть з найменшими правами Subscriber).

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• VMware View privilege escalation and cross-site scripting (деталі)
• Multiple vulnerabilities in Elefant CMS (деталі)
• Multiple XSS in Chyrp (деталі)
• fex security update (деталі)
• Mobile Mp3 Search Engine HTTP Response Splitting (деталі)
• Stack Buffer Overflow in HTTP Manager (деталі)
• YVS Image Gallery Sql injection (деталі)
• Security advisory for Bugzilla 4.2 and 4.0.5 (деталі)
• CJWSoft ASPGuest GuestBook ‘edit.asp’ - SQL Injection Vulnerability (деталі)
• PHP Gift Registry 1.5.5 SQL Injection (деталі)

Раніше я писав в добірці уразливостей та добірці експлоітів про DoS уразливість в браузері Opera 10.10 знайдену Inj3ct0r. І от дослідивши сьогодні його експлоіт я виявив, що багато інших браузерів також уразливі до даної атаки (в тому числі більш нова версія Опери, в якій уразливість не була повністю виправлена).

Сьогодні я виявив Denial of Service уразливості в Mozilla Firefox, Microsoft Internet Explorer та Opera. Вони відноситься до типу вибиваючих DoS, блокуючих DoS та DoS через споживання ресурсів.

Експлоіт від Inj3ct0r схожий на експлоіти, що я розробив для Google Chrome та Mozilla Firefox в 2008 році. Атака в моїх експлоітах відбувалася через велику кількість вкладених marquee тегів, а у нього використовуються html, marquee та h1 теги, але суть атаки та сама - велика кількість вкладених тегів (зокрема marquee). Тоді я сповістив Google і Mozilla та розмістив Bug 454434 на Bugzilla Мозіли, але якщо Google виправила уразливість, то Mozilla не виправила дану уразливість.

DoS:

Моя версія експлоіта для різних браузерів. Цей експлоіт використовує JS, але атаку можна так само провести і без JS (як це показано в моєму експлоіті 2008 року).

Firefox, IE & Opera DoS Exploit.html

Даний експлоіт працює наступним чином:

• Mozilla Firefox 3.0.19 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 3.5.11 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 3.6.8 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 4.0 beta 2 зависає і споживає ресурси (50% CPU і багато RAM).
• Mozilla Firefox 11.0 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 6 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 7 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 8 лише споживає ресурси (50% CPU і багато RAM). Тобто в IE8 проблема вже частково виправлена Microsoft.
• Opera 10.62 зависає і споживає ресурси (50% CPU і багато RAM).
• Експлоіт не працює в браузері Google Chrome вже починаючи з версії 1.0.154.48. Гугл виправила уразливість з marquee тегом після мого повідомлення в 2008 році.

Уразливі Mozilla Firefox 3.0.19, 3.5.11, 3.6.8, 4.0 beta 2, 11.0, Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.00.5730.13), Internet Explorer 8 (8.00.6001.18702) та Opera 10.62, а також повинні бути уразливими попередні версії даних браузерів. Інші браузери також можуть бути уразливими.

14.04.2012

Ще 27.09.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress (одразу як почав ним користуватися). Але довго відкладав публікацію інформації про дані уразливості. Це перша порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Стосовно уразливостей в плагінах для WP раніше я писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

POST запит на сторінці http://site/wp-admin/admin.php? page=organizer/page/users.php в полі “File extensions allowed”. Код виконається на сторінці users.php плагіна.

Organizer XSS-1.html

FPD:

http://site/wp-content/plugins/organizer/plugin_hook.php

http://site/wp-content/plugins/organizer/page/index.php

http://site/wp-content/plugins/organizer/page/dir.php

http://site/wp-content/plugins/organizer/page/options.php

http://site/wp-content/plugins/organizer/page/resize.php

http://site/wp-content/plugins/organizer/page/upload.php

http://site/wp-content/plugins/organizer/page/users.php

http://site/wp-content/plugins/organizer/page/view.php

Уразливі Organizer 1.2.1 та попередні версії.

Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив. Тому користувачам даного плагіна потрібно буде власноруч виправляти всі уразливості.

В даній добірці уразливості в веб додатках:

• Oracle Exadata Infiniband Switch default logins and world readable shadow file (деталі)
• CMS wizard Cross Site Scripting (деталі)
• F*EX (Frams’s Fast File EXchange) Cross Site Scripting Vulnerability (деталі)
• Aurora WebOPAC SQL Injection (деталі)
• XSS (CROSS SITE SCRIPTING VULNERABILITIES) (ZAPHOD BREEBLEBROX’S BLOCKER A.K.A. ZB BLOCK) (деталі)
• APPLE-SA-2012-03-07-2 iOS 5.1 Software Update (деталі)
• phpMyVisites 2.4 XSS (деталі)
• XWeavers (sysMsg.php?errMsg) Cross Site Scripting Vulnerabilities (деталі)
• Arte Dude (collections.php?id) (property.php?id) Remote SQL injection Vulnerability (деталі)
• Web Design Sydney (news-item.php?id) (news-item.php?newsid) Remote SQL injection Vulnerability (деталі)

Ще 18.04.2008 я знайшов Insufficient Authorization, Cross-Site Request Forgery та Full path disclosure уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це третя порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив.

Раніше я писав про уразливості в Organizer для WordPress.

Insufficient Authorization:

Доступ до users.php та виконання всіх операцій дозволено будь-яким користувачам системи (навіть Subscriber).

http://site/wp-admin/admin.php?page=organizer/page/users.php

Можливий перегляд налаштувань, додавання, редагування та видалення налаштувань користувачів. Зокрема будь-який користувач (той же Subscriber) зможе задати, в тому числі для свого акаунту, дозволені розширення для завантаження файлів, наприклад, php.

В тому числі непривілегійований користувач може проводити Persistent XSS атаки на адміна (через дві раніше згадані Persistent XSS дірки). А також дана уразливість дозволяє проводити CSRF атаки (для зміни налаштувань) не тільки на адміна, а на будь-якого залогіненого користувача.

CSRF:

Увесь фунціонал плагіна вразливий до CSRF атак. Окрім раніше загадних CSRF в скрипті users.php, наприклад, в скрипті dir.php через CSRF можна створювати, переіменовувати та видаляти директорії (переіменовувати та видаляти можна лише пусті директорії). Для цього потрібно відправити три відповідних POST запити.

http://site/wp-admin/admin.php?page=organizer/page/dir.php

А в скрипті view.php через CSRF можна переіменовувати, копіювати та видаляти завантажені файли. Для цього потрібно відправити три відповідних POST запити.

http://site/wordpress/wp-admin/admin.php?page=organizer/page/view.php

FPD:

Скрипт http://site/wordpress/wp-admin/admin.php?page=organizer /page/view.php має вбудований функціонал (і уразливість) - виведення повного шляху на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• Cisco Unified Communications Manager Skinny Client Control Protocol Vulnerabilities (деталі)
• Multiple vulnerabilities in LEPTON (деталі)
• Multiple critical vulnerabilities in VOXTRONIC voxlog professional (деталі)
• SQL Injection Vulnerabilities in TestLink (деталі)
• Pandora FMS v4.0.1 - Local File Include Vulnerability + VD Session (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• WebsiteBaker 2.8.2 SP2 HTTP-Referer XSS vulnerability (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
• Dolphin 7.0.7 <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• OxWall 1.1.1 <= Multiple Cross Site Scripting Vulnerabilities (деталі)

Ще 30.08.2007 я знайшов Full path disclosure уразливості, а сьогодні ще нові Full path disclosure та Cross-Site Scripting уразливості, на сайтах blog.meta.ua та market.auto.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на map.meta.ua.

Full path disclosure:

30.08.2007 мною були знайдені численні FPD на різних сайтах Мети, зокрема на blog.meta.ua. При цьому самі FPD на цих сайтах адміни Мети вже прибрали, але в кеші Гугла вони добре збереглися (зараз ясна річ тих FPD в кеші вже немає, зате є нові).

http://blog.meta.ua/ajax/fastenPost.php

/mnt/di1/apache/htdocs/weblog/ajax/fastenPost.php

А також на сторінці http://blog.meta.ua/ajax/addposttoc.php та багатьох інших сторінках сайта blog.meta.ua. А сьогодні я знайшов чергові FPD дірки, цього разу на market.auto.meta.ua. І знову на сайті вони вже прибрані, але в кеші Гугла (в коді сторінки) від 01.04.2012 вони все ще є.

Уразливості мають місце на сторінці http://market.auto.meta.ua/ua/
igrovi-prystavky/7611665-0/sony-playstation-2-black/ та інших сторінках сайта market.auto.meta.ua.

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Уразливості на сайтах Мети, зокрема такі як витоки інформації, навіть якщо адміни з часом їх приховають, все рівно стають доступними для всіх бажаючих у кешах пошуковців. А дана XSS досі висіть на сайті на протязі всього часу роботи цього сайта. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• Apache CXF does not validate UsernameToken policies correctly (деталі)
• SQL Injection Vulnerability in Batavi 1.1.2 (деталі)
• eFronts Community++ v3.6.10 - Cross Site Vulnerability (деталі)
• Cyberoam Central Console v2.00.2 - File Include Vulnerability (деталі)
• Multiple vulnerabilities in ZENphoto (деталі)
• Multiple Vulnerabilities in Cisco Unity Connection (деталі)
• sqlinjection bug in nova cms (деталі)
• eFront Community++ v3.6.10 - SQL Injection Vulnerability (деталі)
• ME Monitoring Manager v9.x; v10.x - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in 11in1 (деталі)

В даній добірці уразливості в веб додатках:

• Denial of Service in libxslt, as used in Google Chrome before 17.0.963.46 (деталі)
• Multiple vulnerabilities in OSclass (деталі)
• Mibew messenger multiple XSS (деталі)
• Multiple vulnerabilities in postfixadmin (деталі)
• Multiple vulnerabilities in OSClass (деталі)
• Out-of-bounds read in libxslt (деталі)
• Security advisory for Bugzilla 4.2rc2, 4.0.4, 3.6.8 and 3.4.14 (деталі)
• Multiple vulnerabilities in OpenEMR (деталі)
• XSS phpLDAPadmin: 1.2.0.5 (Debian package) and 1.2.2 (sourceforge) (деталі)
• SimpleGroupware 0.742 Cross-Site-Scripting vulnerability (деталі)